PFsense 2.4.4 не работает DNS в MultiWan

vladimirlind

2 WAN одновременно могут работать в policy-routing правилах фаервола - у вас так и сделано на LAN. А kernel маршрутизация - там только один маршрут всегда будет. То есть трафик, исходящий от самого фаервола нельзя балансировать. Фейловер маршрутов - да, для этого либо automatic, либо группу wan шлюзов с разными Tier. До 2.4.4 эта функция была в адвансед - default gateway switching.

lazy

У меня похожая проблема на 2.4.4 с multi wan, но с Nat reflection.

Если я в lan rules выставляю группу шлюзов (по инструкции настройки multi wan) с одинаковым тиром (балансировка), то Nat reflection не работает, то есть, я не могу обращаться к своему внешнему ip и проброшенным портам изнутри сети, хотя при обращении с внешней сети (4G на телефоне) все работает великолепно...
Если выставляю в lan rules шлюзом default, то Nat reflection работает отлично, но не работает балансировка.

В System - Routing - Default gateway стоит группа шлюзов с тир 1 и тир 2 (с разными тирами), но пробовал тут практически все варианты, проблеме не помогает.

Подскажите, куда копать? Уже всю голову переломал.

Кстати, с DNS была похожая проблема, исправил так:

vladimirlind

И не должно работать - policy-routing правило выпуливает трафик на WAN шлюз без проверки таблицы маршрутов, а Nat reflection - перенаправляет из внутренней сети на внутренний айпи сервера, который указан в порт-форвардинг правиле или NAT1:1. Для того, чтобы это перенаправление сработало - надо, чтобы на внутреннем интерфейсе было разрешающее правило с адресом назначения внутреннего айпи сервера - без полиси-рутинга (без шлюза). Тогда трафик не выкинется наружу на шлюз, а по таблице маршрутов уйдет на внутренний айпи сервера. В случае с DNS вы так и сделали - просто сделайте аналогичное правило до policy-routing правила.

lazy

@vladimirlind спасибо, я немного тупанул видимо вчера, и что-то не так прописал, ибо пробовал так сделать, и не сработало, сейчас прописал заново и все взлетело.
Ещё раз спасибо!

werter

@lazy said in PFsense 2.4.4 не работает DNS в MultiWan:

то есть, я не могу обращаться к своему внешнему ip и проброшенным портам изнутри сети,

И самое главное - зачем эта петля может быть нужна? Обращайтесь ко внутренним ресурсам по внутренним ip.
Нужно обращение по внешнему имени из внутренней сети - настройте split dns, тем более, что пф это умеет.
В особо тяжких случаях port forwarding на LAN прекрасно завернет все необходимое туда, куда укажите.

wezen

Да Default gateway преобразовался в Default gateway Automatic, группу multiwan с одинаковым весом wan. В фаерволе выставил шлюз как wan. Но балансировки нет. Все идет через один канал(((. По удаленке можно подключатся к разным провайдерам все работает. Я так и не понял как можно сделать балансировку трафика между двумя провайдерами?

vladimirlind

Policy-routing фаервольное правило с указанием группы шлюзов с одинаковым Tier настроили на LAN для трафика исходящего из LAN сети наружу?

https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html

wezen

@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:

Policy-routing фаервольное правило с указанием группы шлюзов с одинаковым Tier настроили на LAN для трафика исходящего из LAN сети наружу?

https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html

Что то не найду в чем проблема. Вроде все настроил.

vladimirlind

Ок, а шлюзы в группе MultiWan активные оба? В Status > Gateways dpinger их обоих зеленым помечает?

Outbound NAT сделан для обоих WAN? Когда генерите трафик с разных хостов LAN , как стейты раскладываются gпо ванам? Diag> Command prompt - pfctl -ss | grep <имя интерфейса MTS и SOTCOM, как в системе - igbX, emX и т.п.>

wezen

@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:

Ок, а шлюзы в группе MultiWan активные оба? В Status > Gateways dpinger их обоих зеленым помечает?

Outbound NAT сделан для обоих WAN? Когда генерите трафик с разных хостов LAN , как стейты раскладываются gпо ванам? Diag> Command prompt - pfctl -ss | grep <имя интерфейса MTS и SOTCOM, как в системе - igbX, emX и т.п.>

не раскладываются)) идет, все через sotcom
через мтс ничего не идет только удаленщики подключаются

vladimirlind

А если у SOTCOM ухудшить Tier до 2, а МТС оставить 1 - пойдет через МТС?

Дефолтным шлюзом является СОТКОМ - такое ощущение, что трафик не матчится полиси-рутингом правилом на ЛАН, а идет по дефолтному маршруту. У вас во флоатинг правилах точно ничего нет? Подключение идет из ЛАН сети?

wezen

@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:

А если SOTCOM ухудшить Tier до 2, а МТС оставить 1 - пойдет через МТС?

Нет. Тоже самое. Geteway default Automatic стоит он автоматом выбирает wan. На данный момент выбран Sotcom и держиться за него. Если поставить MTS через MTS все будет ходить, ставишь automatic какой шлюз выберет чрез такой и будет все ходить пока шлюз живой если умер то переключается на другой

Floating пусты, да подключение по lan

vladimirlind

Значит полиси-рутинг правило не матчится по какой-то причине. Но какое-то правило на ЛАНе все же должно выпускать трафик наружу. На ЛАНе дальше после полиси-рутинга правила какие? Трафик точно из LAN сети идет?

Что интересно вот тут:

cat /tmp/rules.debug | grep MultiWan

wezen

@vladimirlind said in PFsense 2.4.4 не работает DNS в MultiWan:

Значит полиси-рутинг правило не матчится по какой-то причине. Но какое-то правило на ЛАНе все же должно выпускать трафик наружу. На ЛАНе дальше после полиси-рутинга правила какие? Трафик точно из LAN сети идет?

Что интересно вот тут:

cat /tmp/rules.debug | grep MultiWan
вот что пишет
GWMultiWan = " route-to { ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re0 10y.y.y.y ) ( re0 10y.y.y.y ) } round-robin "
основной трафик с lan идет еще с wi-fi идет трафик

vladimirlind

@wezen said in PFsense 2.4.4 не работает DNS в MultiWan:

GWMultiWan = " route-to { ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re0 10y.y.y.y ) ( re0 10y.y.y.y ) } round-robin "

хм, группа из пяти шлюзов? А само правило с GWMultiWan не вывелось в команде? Получается, правила нет...

Надо бы удалить полиси-рутинг правило и группу шлюзов MultiWan и создать все заново. Посмотреть в сислоге, нет ли ошибок pf при создании правила, колокольчик не брякает ли в правом верхнем углу.

Konstanti

@wezen Должно быть как минимум 2 строчки
1 строка - алиас
2 правило
алиас есть , правила нет
например , вот так

GWTUN200_TUNNELV4 = " route-to ( gre1 10.10.200.2 ) "
pass  in  quick  on $LAN  $GWTUN200_TUNNELV4 inet from 192.168.1.96 to any tracker 1530287339 keep state  label "USER_RULE"

Попробуйте сделать так , как Вам написали выше

wezen

GWMultiWan = " route-to { ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re1 9x.x.x.x ) ( re0 10y.y.y.y ) ( re0 10y.y.y.y ) } round-robin " по ходу нормально, установилна каждом Gateway Weight на сотком 3 и на мтс 2 видимо он так прописывает. пересоздал мульти группу. Пошел трафик.

wezen

Поставил 7-5 в весе шлюзов вот такую красоту отображает)))
GWMultiWans = " route-to { ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re1 x.x.x.x ) ( re0 y.y.y.y ) ( re0 y.y.y.y ) ( re0 y.y.y.y ) ( re0 y.y.y.y ) ( re0 y.y.y.y ) } round-robin "
pass in quick on $LAN $GWMultiWans inet from 10.10.10.0/24 to any tracker 1423503327 keep state label "USER_RULE: Default allow LAN to any rule"
pass in quick on $WIFI $GWMultiWans inet proto { tcp udp } from 192.168.2.0/24 to any tracker 1551818363 keep state dnpipe ( 1,2) label "USER_RULE"

vladimirlind

Ага, похоже weight просто увеличивает частоту выбора шлюза в round-robin механизме. Если оставить weight 1 , то шлюзы дублироваться не будут в группе. То есть соотношение балансировки WAN1 к WAN2 будет 7 к 5.

Ну, по крайней мере, сейчас правило есть.

wezen

да сейчас раскидывает на два провайдера, спасибо за подсказки.